SecUpdate: Máte antivirus? Hackeři budou rádi! A když ne, postačí rádio
Každý týden se setkáváme s útoky na počítače uživatelů, které jsou si často dost podobné. Tentokrát tu máme originální přístup výzkumníků z Univerzity v Tel Avivu. Ti zveřejnili článek [PDF] popisující takzvaný side-channel útok, při kterém jsou schopní na základě analýzy magnetického pole vyzařovaného běžným notebookem extrahovat dešifrovací klíč pro algoritmy RSA a ElGamal. K útoku je možné použít běžný rádiový přijímač, nebo softwarový rádiový přijímač do USB s jednoduchou anténou.
Softwarový rádiový přijímač s anténou a malým počítačem Rikomagic, který odesílá nasbíraná data po Wifi. To vše včetně antény je možné vtěsnat do pita chlebu.
Na webu útoku uvádějí, že se jim podařilo během několika sekund úspěšně extrahovat klíče z různých typů notebooků, na kterých běželo GnuPG. Vzdálenost přijímače od cílového notebooku byla 50 centimetrů. Vzhledem k velikosti přijímače by nebyl problém ho ukrýt například do peněženky nebo do pita chlebu, jak udávají na webu.
Při útoku je na cílový notebook odesláno několik specifických zašifrovaných textů. Při jejich dešifrování dochází k výskytu specificky strukturovaných hodnot v dešifrovacím programu a ty způsobují měřitelné výkyvy v elektromagnetickém poli notebooku. Výzkumníkům se podařilo odvodit závislost mezi těmito výkyvy a jednotlivými bity klíče. Pomocí zpracování a kryptoanalýzy těchto odchylek je tedy možné klíč určit.
Myslete na tento útok, až budete příště na svém notebooku dešifrovat data v blízkosti rádia nebo třeba chleba.
K zachycení signálu stačí i běžné rádio, které je v tomto případě připojené do audio konektoru telefonu HTC EVO 4G, ve kterém se signál nahrává.
Kovářova kobyla… aneb zranitelnost v antiviru ESET
Většina antivirových řešení obsahuje nástroj pro emulaci, který se používá pro testování spustitelného kódu při hledání virů. Ke spuštění emulace v antivirovém programu dochází automaticky v podstatě na každém kroku uživatele - když surfuje po internetu, obdrží email, stahuje sdílené soubory, připojí USB zařízení a v mnoha dalších případech. A při emulaci pracuje antivirus se zcela neznámými a nedůvěryhodnými daty. Proto by emulátor měl být robustní a izolovaný nástroj.
Jak ale ukázal článek na blogu Google Project Zero, u antivirových produktů společnosti ESET tomu tak není. Útočník dokáže emulátor jednoduše obejít a spustit v průběhu skenování libovolný kód a to se systémovým oprávněním. Následně si tedy může dělat prakticky cokoli - číst, upravovat a mazat všechny soubory na disku, přistupovat k hardwaru jako je mikrofon a webkamera, sledovat veškerou internetovou komunikaci či zaznamenávat stisknuté klávesy.
Uživatel navštívil škodlivou stránku, zatímco měl nainstalovaný ESET NOD32, čímž dal útočníkovi možnost spustit jako root libovolné příkazy.
Problém se nachází ve všech produktech ESET (namátkou Smart Security, NOD32…) a to ve verzích pro všechny platformy, tedy Windows, Mac i Linux. Problém nezáleží na nějakém konkrétním nastavení, chyba je zneužitelná i v defaultním nastavení programů.
ESET na problém okamžitě zareagoval a zranitelnost opravil. Pohlídejte si tedy, abyste měli nainstalovanou aktualizaci, kterou vydali 22. června.
Facebook pomáhá bojovat proti XARA útokům na Apple
Apple stále pracuje na opravách chyb, které využívají XARA útoky popsané v našem posledním dílu SecUpdate. Z průběhu prací není moc informací a stejně tak je tomu ohledně termínu vydání opravy, který zatím nebyl stanoven.
Je proto dobrou zprávou, že přišla pomoc ze strany Facebooku a to v podobě nových rozšíření frameworku osquery. Jedná se o monitorovací nástroj, který jistým způsobem přemění operační systém v relační databázi. Umožňuje tedy psát SQL-like dotazy nad daty operačního systému. Jednotlivé tabulky obsahují například běžící procesy, načtené moduly jádra, otevřená síťová spojení, doplňky prohlížeče, hardwarové události a podobně.
Nově byly do osquery přidány tři tabulky, které poskytují data k rozpoznání XARA útoků:
- “keychain_acls” - pomůže proti krádežím hesel, díky sledování veškerých změn v ACL vztahujících se k položkám v keychainu
- “sandboxes” - sleduje změny sandboxů, ze kterých může uživatel vyčíst, že útočná aplikace získává data jiných aplikací pouhým použitím jejich identifikátoru (BID)
- "app_schemes" - tabulka obsahuje registrovaná schémata na daném zařízení a aplikace, které si je registrovali, což pomůže uživateli zjistit, zda útočná aplikace nepředběhla v registraci schématu jinou, která ho běžně používá
Pokud se zajímáte o to, co se ve vašem Apple systému děje, neváhejte k vašemu bádání osquery použít. Nástroj je volně dostupný na GitHubu.
Samsung na svých počítačích zakazuje Windows update
Výzkumník Patrick Barker zjistil, že Samsung vypíná automatické aktualizace na operačním systému Windows v rámci nástroje SWUpdate. Ten má sloužit k aktualizaci ovladačů a programů, které jsou na počítači Samsung předinstalované.
Data na disku po instalaci programu SWUpdate
Program SWUpdate spouští *.exe soubor s názvem Disable_Windowsupdate.exe
. Barker ho nejdříve považoval za malware, ale nakonec zjistil, že je podepsaný certifikátem společnosti Samsung. Ta na dotazy výzkumníka k blokaci updatu odpověděla, že se jedná o prevenci proti instalaci ovladačů hardwaru, které by na počítači nemusely fungovat. Proto Samsung aktualizace zakazuje a instaluje vlastní ovladače pomocí SWUpdate.
Program vytvoří naplánovanou událost, která kontroluje po každém přihlášení, že v nastavení Windows aktualizací je zvolena volba „Vyhledávat aktualizace, ale dotázat se, zda mají být staženy nebo nainstalovány”. Můžete si zvolit „Instalovat aktualizace automaticky”, jak doporučuje Microsoft, ale po restartu počítače se Disable_Windowsupdate.exe
postará o vrácení nastavení.
Řešením je dle blogu výzkumníka odinstalace programu SWUpdate, po které by již k automatickým změnám nastavení docházet nemělo. Nakonec se umoudřil i Samsung a během několika dní by měl vydat aktualizaci, po jejíž instalaci již nebude ke změně nastavení Windows Update docházet.
Adobe opravuje zero-day chybu ve webovém pluginu Flash Player
Výzkumníci z FireEye analyzovali útoky hackerské skupiny APT3 na společnosti působící v telekomunikačním, leteckém i obranném průmyslu. Odhalili tak kritickou zranitelnost ve Flash Playeru (CVE-2015-3113), která byla při těchto útocích využívána. Útočníkům dobře posloužila při průniku do systémů Windows 7 a starších, na kterých byl používán Internet Explorer a také u obětí používajících Firefox na systému Windows XP.
Podle blogu FireEye obdrželi oběti email s odkazem na útočný web. Pokud na něj vstoupili, došlo ke spuštění kódu v JavaScriptu, který sloužil k profilování oběti. Pokud byla oběť rozpoznána jako zajímavá, došlo ke stažení škodlivých SWF a FLV souborů, které sloužily k nasazení backdooru známého pod názvem SHOTPUT.
Jak to přesně fungovalo? Exploit zneužil zranitelnost ve Flashi k obejití obrané techniky ASLR (Address Space Layout Randomization) a pomocí return-oriented-programing překonal i DEP (Data Execution Prevention). Shellkód byl zabalen v souboru pro Adobe Flash Player spolu s klíčem pro jeho dešifrování. Jeho úkolem bylo najít samotná data, která měl nasadit na počítač oběti. Ta byla zaxorovaná a skrytá v obrázku.
Záplata již byla vydána, takže doporučujeme co nejdříve aktualizovat Adobe Flash Player na verzi 18.0.0.194.
Vegan - nový doplněk pro Chrome vás upozorní na BeEF útoky
Stejně jako vegani nemají rádi hovězí, tak nový doplněk Vegan nemá rád útoky využívající Browser Exploit Framework (BeEF) a tak na ně uživatele upozorňuje a snaží se jim zabránit.
Upozornění na BeEF útok
Jak uvádí autor doplňku Brian Wallace na svém blogu, BeEF je široce známý nástroj mezi penetračními testery a odborníky na počítačovou bezpečnost. Na druhou stranu obrana, nebo alespoň nástroj pro detekci takového útoku známý není. A proto jeden vytvořil.
Upozornil ale, že Vegan není neprůstřelný. Doplněk se snaží hledat v komunikaci prohlížeče se vzdálenými HTTP servery znaky běžící instance BeEFu s výchozím nastavením, která komunikuje přes nešifrované HTTP. Úpravou nastavení se tak může útočník detekci vcelku snadno vyhnout.
FBI počítá oběti Cryptowallu - od dubna 2014 zaplatili přes 18 miliónů dolarů
Cryptowall je považován za jeden z nejrozšířenějších ransomwarů, tedy virů, které na počítači oběti zašifrují uživatelské soubory a následně vyžadují výkupné výměnou za klíč k jejich dešifrování.
FBI se setkává s hlášením útoků Cryptowallu od dubna 2014, přičemž do června 2015 obdržela 992 stížností, které se k němu vztahují. Jeho oběti hlásí celkové ztráty, které převyšují 18 miliónů dolarů. Tato částka není tvořena jen zaplaceným výkupným, které se obvykle pohybuje od 200 do 10 000 dolarů, ale také součtem nákladů na přidružené IT služby, protiopatření, ušlé zisky a podobně.
Cryptowall na své oběti nejčastěji číhá na útočných webových stránkách, v infikovaných reklamách, emailech, nebo jejich přílohách. Co se týká platby, k té jsou ve většině případů používány Bitcoiny. Kriminálníci tuto decentralizovanou měnu rádi využívají díky jednoduchému použití a jisté míře anonymity, kterou nabízí.
FBI proto radí, jak se vyhnout ransomwaru. Doporučují používání aktuálních antivirových programů a firewallu, využívání doplňků pro blokování pop-up oken, pečlivé zálohování svých dat a jistá míra nedůvěřivosti, zejména před otvíráním emailových příloh.
Další zprávy ze světa IT bezpečnosti v bodech:
- Google opravuje bezpečnostní díry v Chromu
- Trojan Stegoloader se nejvíce vyskytuje ve zdravotnických organizacích v USA
- Ovládnout systém lze i přes fonty
- Jak funguje podvod zvaný „změna dodavatele“? Výzkumníci popsali kroky útočníků.
- Výchozí SSH klíče ohrožují virtuální produkty společnosti Cisco
- Odhalen skript používaný pro krádeže dat platebních karet z e-commerce platformy Magento